Struts2拦截器登录验证实例

Struts2拦截器

Struts2拦截器的概念和Spring Mvc拦截器一样。

1.Struts2拦截器是在访问某个Action或Action的某个方法,字段之前或之后实施拦截,并且Struts2拦截器是可插拔的,拦截器是AOP的一种实现.

2.拦截器栈(Interceptor Stack)。Struts2拦截器栈就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,Struts2拦截器链中的拦截器就会按其之前定义的顺序被调用。

使用拦截器的第一步:

自定义我的权限拦截器CheckPrivilegeInterceptor,这个拦截器继承自AbstractInterceptor这个抽象类,当然你可以实现Interceptor这个接口。

import com.opensymphony.xwork2.ActionContext;

import com.opensymphony.xwork2.ActionInvocation;

import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

import com.shizongger.oa.domain.User;

public class CheckPrivilegeInterceptor extends AbstractInterceptor {

@Override

public String intercept(ActionInvocation invocation) throws Exception {

System.out.println("---拦截器未拦截之前---");

String result = invocation.invoke();

System.out.println("---拦截器拦截之后---");

return result;

}

}

自定义的拦截器要覆盖AbstractInterceptor抽象类的抽象方法intercept()方法,该方法是对所有的action进行拦截,String类型的返回值是我们将要返回的视图,如果要放行我们要拦截的action地址,那么代码如上所示。

使用拦截器的第二步:

配置struts的配置文件,主要是配置自定义的拦截器和配置拦截器栈。在struts.xml配置文件的package元素节点下添加以下配置:

<!-- 配置拦截器 -->

<interceptors>

<!-- 声明拦截器 -->

<interceptor name="checkPrivilege" class="com.shizongger.oa.util.CheckPrivilegeInterceptor"></interceptor>

<!-- 重新定义默认的拦截器栈 -->

<interceptor-stack name="defaultStack">

<interceptor-ref name="checkPrivilege"></interceptor-ref>

<interceptor-ref name="defaultStack"></interceptor-ref>

</interceptor-stack>

</interceptors>

启动我的Tomcat服务器,当我在浏览器输入我的action地址时,都会被该拦截器的intercept拦截,默认是放行的,如果返回空字符串则因找不到对应的视图而报错。

登录和权限拦截

拦截器在Web开发中应用场景最多的地方就是登录验证和权限验证了。对于那些未登录系统的用户,一般我们都把他所有的请求打回到登录页面。而对于那些已经登录系统的用户,如果你不具有相应的权限,那么将无法访问我们的url。

首先在监听器中最一些系统做一些监听任务。

public class MyServletContextListener implements ServletContextListener {

Log log = LogFactory.getLog(this.getClass());

@Autowired

private PrivilegeService privilegeService;

@Override

public void contextDestroyed(ServletContextEvent sce) {

log.debug("---销毁监听器---");

}

@Override

public void contextInitialized(ServletContextEvent sce) {

ServletContext sc = sce.getServletContext();

ApplicationContext ac = WebApplicationContextUtils.getWebApplicationContext(sc);

PrivilegeService privilegeService = (PrivilegeService) ac.getBean("privilegeServiceImpl");

List<Privilege> topPrivilegeList = privilegeService.findTopList();

//将权限list放到比application作用域还大的ServletContext

sc.setAttribute("topPrivilegeList", topPrivilegeList);

// 准备数据:allPrivilegeUrls

Collection<String> allPrivilegeUrls = privilegeService.getAllPrivilegeUrls();

sc.setAttribute("allPrivilegeUrls", allPrivilegeUrls);

}

}

监听器的任务是从Web容器中获得Spring的容器ApplicationContext,再从ApplicationContext中获得权限服务类privilegeService,这个service主要作用有两点,其一是获得有多的顶级权限列表;其二是获得所以权限列表。将这两者放入到application里边。

接下来就可以在我们的拦截器中写登录拦截的逻辑代码了。

public String intercept(ActionInvocation invocation) throws Exception {

//获取信息,从session中取出当前登录用户

User user = (User) ActionContext.getContext().getSession().get("user");

String nameSpace = invocation.getProxy().getNamespace();

String actionName = invocation.getProxy().getActionName();

//对应的权限地址

String privilegeUrl = nameSpace + actionName;

//如果未登录

if(user == null) {

//如果是去登录的页面和登录请求,就放行

if("/user_login".equals(privilegeUrl)) {

return invocation.invoke();

//否则跳转到登录页面

} else {

return "loginUI";

}

} else {

//如果已经登录则判断是否有权限

if(user.hasPrivilegeByUrl(privilegeUrl)) {

return invocation.invoke();

} else {

return "noPrivilegeError";

}

}

}

处理的逻辑是,如果未登录,则判断是不是要去登录,如果用户正在登录则放行,其他请求都要跳转到loginUI登录页面。如果已经登录,则判断正在登录的用户是否具有相对应的权限。而判断是否具有权限的方法在我的user.java里面。

/**

* 用户实体

* @author shizongger

* @date 2017/03/24

*/

public class User {

private Log log = LogFactory.getLog(this.getClass());

private Long id;

private String loginName;

private String password;

private String name;

private String gender;

private String phoneNumber;

private String email;

private String description;

private Department department;

private Set<Role> roles;

//getter/settter方法

/**

* 判断用户是否用该权限

* @param privilegename 权限名称

* @return

*/

public boolean hasPrivilegeByName(String privilegeName) {

log.debug("权限名称:" + privilegeName);

//从本用户中取出所有角色

for(Role role : roles) {

//从角色遍历出所有权限

Set<Privilege> privilegeList = role.getPrivileges();

for(Privilege privilege : privilegeList) {

if(privilegeName.equals(privilege.getName())) {

log.debug(privilegeName + "---有权限---");

return true;

}

}

}

log.debug(privilegeName + "---没有权限---");

return false;

}

/**

* 判断本用户是否有指定URL的权限

*

* @param privUrl

* @return

*/

public boolean hasPrivilegeByUrl(String privUrl) {

// 超级管理有所有的权限

if (isAdmin()) {

return true;

}

// >> 去掉后面的参数

int pos = privUrl.indexOf("?");

if (pos > -1) {

privUrl = privUrl.substring(0, pos);

}

// >> 去掉UI后缀

if (privUrl.endsWith("UI")) {

privUrl = privUrl.substring(0, privUrl.length() - 2);

}

// 如果本URL不需要控制,则登录用户就可以使用

Collection<String> allPrivilegeUrls = (Collection<String>) ActionContext.getContext().getApplication().get("allPrivilegeUrls");

if (!allPrivilegeUrls.contains(privUrl)) {

return true;

} else {

// 普通用户要判断是否含有这个权限

for (Role role : roles) {

for (Privilege priv : role.getPrivileges()) {

if (privUrl.equals(priv.getUrl())) {

return true;

}

}

}

return false;

}

}

/**

* 判断本用户是否是超级管理员

*

* @return

*/

public boolean isAdmin() {

return "admin".equals(loginName);

}

}

hasPrivilegeByUrl()方法为根据url判断用户是否具有权限的代码逻辑,此逻辑分为三部分。其一,如果登录的用户是超级管理员admin,则不用验证权限,该用户具有所有的权限。其二,如果登录的用户基本功能部分不用验证,需要验证的功能才需要验证。基础功能模块比如首页,退出,登录页面等都不要再验证。

权限的service实现类如下:

@Service

public class PrivilegeServiceImpl extends DaoSupportImpl<Privilege> implements PrivilegeService {

@Override

@Transactional

public List<Privilege> findTopList() {

List<Privilege> topPrivletList = this.getSession()

.createQuery("FROM Privilege p WHERE p.parent IS NULL")

.list();

return topPrivletList;

}

@Override

@Transactional

public Collection<String> getAllPrivilegeUrls() {

return getSession().createQuery(//

"SELECT DISTINCT p.url FROM Privilege p WHERE p.url IS NOT NULL")//

.list();

}

}

未登录的状态直接输入主页面将自动弹回登录页面,如图所示

在登录状态下权限如图:

以上是 Struts2拦截器登录验证实例 的全部内容, 来源链接: utcz.com/p/213179.html

回到顶部